Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
Каталог
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Страницы: 1 2 След.
RSS
Построение сети, UniFi Network
 
Привет! У меня есть очень конкретная задача. Хочу создать сеть с моими 8 устройствами Sonos, 3 ресиверами Entertain и 3 ПК. Например: 8 устройств Sonos с IP в диапазоне 192.168.4.x, 3 ресивера Entertain с IP 10.3.4.x и 3 ПК с IP 71.5.7.x. Все они должны иметь доступ в интернет. Какие устройства мне нужны, чтобы это реализовать? Unifi ac ap pro для Wi-Fi у меня уже есть. Вообще не понимаю, как это сделать. Было бы здорово, если бы вы могли дать пару советов. Заранее спасибо!
 
Что мне ещё не хватает, так это разрешения имён через VLAN и VPN (Site-to-Site). Чтобы, например, из VLAN1 достучаться до сервера или клиента в VLAN2 по имени (hostname.suffix). Как вы это обычно решаете?
 
Это также было бы моим желанием...
 
Всем привет! Есть тут похожая проблема:  
Сеть 1: Основная сеть (WLAN и LAN)  
Сеть 2: Гостевая сеть (WLAN)  
Сеть 3: Вторая сеть для другого пользователя (свой IP-диапазон, своё VLAN)  

В идеале все три сети должны быть полностью автономными. Но при этом я могу из сети 3, введя прямой IP-адрес, получить доступ к устройствам из сети 1 (из гостевой сети 2 так не получается).  

Как это можно запретить? По идее, такого не должно быть, верно?  

При этом принтер из сети 1 должен быть доступен и для сети 3. Это должно работать через «гостевой контроль», «доступ до авторизации», правильно?  

Надеюсь на простое и грамотное решение ;-)
 
Допустим, одним из VLAN будет Management LAN, о котором говорили @Luxtra и @deetee. Как выглядят те правила, с помощью которых ты изолировал сеть? Если сетевые устройства находятся в отдельном VLAN, то они ведь по умолчанию уже изолированы, или я что-то путаю из обсуждений про VLAN и их взаимную (не)доступность? Не нужны ли тогда правила, чтобы ты мог администрировать всё это с клиентов из другого VLAN?

Что касается DHCP, ты в каком-то смысле прав — особенно если это чистая Unifi-система, тогда конфигурация не усложняется, потому что всё можно управлять из одного интерфейса. Но ещё не ясно, будет ли у меня чистый Unifi, потому что возможности использовать USG как внутренний DNS для разрешения имён устройств пока довольно ограничены — поэтому, возможно, я возьму OPNSense для DNS/DHCP/VPN и так далее. Тут уже вопрос, что удобнее — фиксировать IP для сетевых устройств или назначать через DHCP. Посмотрим, как будет на деле :-)

Пока спасибо!
 
Разделение через VLAN, по моему мнению, это стандартный способ организации управляющей сети. Главное — правильно настроить правила фаервола для изоляции. Зачем блокировать резервации и выдачу по DHCP? Ручное назначение и отсутствие DHCP, скорее всего, потребуют меньше усилий. Конечно, можно и смешивать: например, разрешить выдачу всего пяти адресов из диапазона.
 
В чём разница между Mgmt LAN и обычным VLAN, в который помещают устройства сетевой инфраструктуры? Не хватило бы DHCP со статическими записями, если бы была возможность запретить выдачу дополнительных IP через DHCP? Как-то это можно сделать? Спасибо, с уважением.
 
Всем привет,

@deetee

Да, если делать всё очень правильно, то для устройств используют mgmt-сеть. IP-адреса должны быть назначены вручную (то есть без DHCP). Так появляется ещё один дополнительный барьер, чтобы ограничить доступ к самим устройствам (из корпоративной сети).

CK, конечно, должен оставаться доступен, но его нужно автоматически включать в правила и сети.

Хотя сам я пока ещё не делал разделение на mgmt-сеть.

Всего хорошего!
 
Можно сделать, для меня достаточно простой и чёткой разделения.
 
Хорошо. А почему эти вещи не в VLAN для управления? Разве так не делают? Я думал, что их туда и помещают?!
 
Вот так и есть...
 
Окей, спасибо. Значит, твой USG тоже в группе по умолчанию, и тогда он не отмечен тегом. Правильно?
 
Я решил это так:  
10.0.0.1 — все устройства для сетевой инфраструктуры (группа default)  
10.0.1.1 (VLAN 10) — все компьютеры, iPad, смартфоны и принтеры (то есть офис) (группа Privat)  
10.0.2.1 (VLAN 20) — IP-телефония (группа Privat)  
10.0.3.1 (VLAN 30) — родственники со стороны супруги (группа Eltern)  
10.0.4.1 (VLAN 40) — Entertain (группа Privat)  
10.0.5.1 (VLAN 50) — гости (группа Gäste)  
10.0.6.1 (VLAN 60) — сервер (группа Privat)  

Только нужно учитывать, что для каждой группы пользователей можно создать не более 4 WLAN. У меня, например, VLAN 20, 40 и 60 уже не подходят под это ограничение.  

Чтобы сделать отдельные устройства, например NAS, доступными для настройки, есть инструкция по специальным правилам фаервола.
 
Да, именно так, неплохо. Но, как я уже сказал, меня в первую очередь интересует Mgmt. LAN и какие устройства туда должны быть подключены, а также где вообще лучше разместить USG.
 
Привет! Про «Management-Netzwerk» я тоже уже читал, но ещё не пробовал. У меня в сети находятся офисные и «родительские» устройства, а также все компоненты Unifi: xxx.xxx.100.xxx. Дети в 110, гости в 120, мультимедиа в 130. Пока работает без нареканий.
 
Привет всем,  
Рад, что здесь есть такой активный немецкий раздел.  
Хотел бы поднять тему этой ветки, которая обсуждалась чуть раньше.  

Моя конфигурация похожа. У меня есть USG, UCK, 2 AP AC Pro, 2 коммутатора.  
Также запланированы разные VLAN:  
VLAN 50 = гость (гостевая сеть)  
VLAN 10 = приватная сеть  
VLAN 20 = IoT сеть  

Но вот в чём моя путаница...  
В какую сеть нужно поместить Cloud Key, коммутаторы, AP и USG?  
Я понял так, что нужно создать отдельную управляющую сеть (Mgmt LAN) и назначить ей VLAN.  
Например, Mgmt LAN = VLAN30.  

Но где именно тогда должны находиться USG и Cloud Key? Тоже оба в управляющей сети?
 
К сожалению, не сработало. Думал ещё, что мне нужно разрешить доступ не только с VPN-сети к LAN-сети, но и в обратную сторону. Поэтому сделал две настройки в фаерволе. Когда это не помогло, создал ещё статический маршрут с VPN-сети до LAN-сети. Но тоже без результата. Завтра попробую что-то другое.
 
Всегда пожалуйста... Хорошо, что теперь все получилось.
 
Большое спасибо. Сейчас ещё раз всё тщательно проверил по твоим фотографиям, удалил правила фаервола и маршрут. При прохождении каждого шага нашёл первую ошибку — в профиле пользователя Radius-сервера забыл заполнить две нижние строки (Tunnel-Typ и Tunnel-Medium-Typ). Ещё раз пытался подключиться — всё равно не вышло. Тогда я снова взялся за свой NAS, проверил права доступа и, о чудо, нашёл вторую ошибку. Поскольку я заполнял всё согласно твоим снимкам, то IP-адреса, которым разрешён доступ, не совсем подходили. Поэтому в VPN-сети указал для себя правильный IP-диапазон — и всё заработало! Ещё раз огромное спасибо вам обоим за помощь. Вы очень помогли мне в понимании Unifi USG.
 
Возможны только 5 вложений...
Страницы: 1 2 След.
Читают тему (гостей: 1)